Cyberkriminelle und das Social Network

Hallo zusammen,

habe gerade gelesen, dass es Kriminelle immer mehr auf Seiten abgesehen haben, die das "Social Network" betreffen, zu deutsch übersetzt: Das soziale Netzwerk. Seiten, die in diese Rubrik eingestuft werden, sind unter anderem MySpace und das StudiVZ.

In einem früheren Beitrag im Forum "Allgemein" wurde schon darüber diskutiert, ob ihr viel im Internet über eure Persönlichkeit preisgebt. Seid ihr denn auch ein Betreiber einer dieser Seiten, sprich: Habt ihr ein Profil dort angelegt? Wenn ja, dann solltet ihr euch fragen, wie viel eures Privatlebens im Internet veröffentlicht werden sollte. Denn heut zu Tage kann jeder normale Internetnutzer zu einem Spion werden, indem er sich durch die Verzeichnisse wühlt und möglichst viele Informationen über den Nutzer einholt. Denn nicht nur Trojaner, Viren und Pishing-Seiten sind im Netz unterwegs, sondern auch Personen, die mit den Informationen anderer gewaltigen Schaden anrichten können.

Gerade Social Network Seiten sind in das Visier der Täter gerückt. Auf ihnen stehen vielerlei Informationen über eine Person zum Ansehen parat und die Sicherheitsstufe solcher Seiten ist ziemlich gering. Pishing-Seiten, die den Internetnutzer auf eine scheinbare Kopie der richtigen Seite locken und Passwörter und Daten des Besuchers aufzeichnen, ermöglichen dem Täter direkten Zugriff auf die Profile von MySpace & Co.

Da der Mensch zudem ein Gewohnheitstier ist, wird häufig das gleiche Passwort für viele verscheidene Seiten genutzt, auf denen der Benutzer angemeldet ist. So kann leicht ein persönlicher Schaden entstehen.

Wie seht ihr das Ganze? Würdet ihr eure Internetpräsentation von jetzt auf gleich löschen, nur weil sich die Angriffe in letzter Zeit gehäuft haben? Besitzt ihr überhaupt ein profil auf Social Network Seiten oder bleibt ihr so anonym, wie es geht?

Würde mich auf jeden Fall interessieren!

Viele Grüße, IceKing32

Hi,

also ich bin im Moment nur bei SchuelerVZ und dort können nur meine Freunde irgendetwas von mir sehen, alle anderen sehen mein Profilbild und mehr nicht. Klar gibt es diese Leute, die sich durch diese Profile wühlen, aber genauso gibt es die Leute, die sich durch die Impressums von Homepages wühlen und die Daten weiter verwerten.

Ich denke, dass man dagegen nicht machen kann. Phishing kann man bei solchen Seiten ganz einfach "umgehen", indem man sich eben wirklich nur über die original URL einloggt und nicht irgendwie so, dass das SchuelerVZ dann schwarz ist. Genauso ist es mit Email-Seiten oder anderen. Gut im Paid4-Bereich kann man was das angeht oft beschissen werden, aber deswegen wähle ich Passwörter so, dass eine Paid4-Seite nicht viel anfangen kann mit dem dort eingestellten Passwort. Leider sind nicht alle so schlau und es gibt gerade jüngere, die immer wieder auf solche Tricks herein fallen und dann Opfer irgendwelcher schlimmern Sachen werden.

Ich habe einmal den Fehler gemacht und bei einer privaten Homepage von mir im Impressum meine richtige Email rein geschrieben, woraufhin ich zugespammt wurde. Mittlerweile mache ich das anders, indem ich einfach die Email mit [Punkt] oder [ät] so hinschreibe, damit die Leute es nicht mehr so einfach haben und nur noch eine bestimmte Email dafür benutze als Spam.

lg, weeedy

Ich denke, dass man dagegen nicht machen kann. Phishing kann man bei solchen Seiten ganz einfach "umgehen", indem man sich eben wirklich nur über die original URL einloggt und nicht irgendwie so, dass das SchuelerVZ dann schwarz ist.

Naja, meint man. Dem ist aber nicht so, denn das kann man leicht mit verschiedenen Techniken durchbrechen, Beispiel:

Verlinkungen

Das kennt man mittlerweile auch hierzulande, das semantische Netz. Bedeutet: auf StudiVZ.net oder Flickr.de kann man die eigenen Bilder mit Schlagwörtern oder entsprechenden weiterführenden Links versehen, was in der Menge ein riesiges zusammenhängendes Netz bedeutet. Einst als große Errungenschaft gefeiert kann das schnell nach hinten losgehen, wenn so Beziehungen zwischen Usern und deren Bildern hergestellt werden können, die diese gar nicht wollen – und löschen oder ändern kann man es nicht. So wird ein Interessent schnell vom anständigen und netten Bild zu einer Eskapade weitergeleitet, die wenig vorteilhaft für einen ist.

Die Accountlöschung

Man kann zwar oft das eigene Profil löschen lassen, aber nicht die abgegebenen Kommentare oder andere Einträge, die nicht direkt mit dem Profil in Verbindung stehen, z. B. Bemerkungen anderer auf deren Seiten oder Seiten anderer. So bleibt immer ein Rest übrig…

Automatische Gesichtserkennung inhaltsbasierte Bildersuche

Damit man im Netz nicht mehr anonym ist, wird hier und da ein Bild von sich gepostet – gut für die Tools, die mittlerweile die automatische Gesichterkennung beherrschen, sowohl von Fotographien oder in Videos. Perfekt um noch mehr Daten eines Users schnell zu akkumulieren. Das erlebt auch die Zuordnung von anonymen Bildern zu jeder Person. Die inhaltsbasierte Bildersuche funktioniert genauso, nur dass eben nach beispielsweise Gegenständen, ähnlicher Umgebung usw. gesucht wird – die Informationen die hier z. B. in begleitenden Texten stehen müssen dann nur noch sortiert und ausgewertet werden.
[...]
Cracker und Spionen Tür und Tor öffnen

Für Cracker, die gezielte Betriebsspionage betreiben wollen, sind soziale Netzwerke und Datensammlungen perfekt, besser geht es fast gar nicht um ein erfolgreiches Social Engineering zu planen oder gleich online per lockerer Plauderei an Firmeninterna kommen. Man ist ja anonym – denkt man.

Spammerparadies

Neben dem Social Engineering kann man soziale Netzwerke auch als interessante Objekte für Spammer zur Verbreitung von Spam sehen. Leicht wird man der Freund eines Benutzers und umso leichter kann man diesen gezielt zuspammen.

Malware & XSS

Auf diesen Trick der Spammer bauen auch Cracker auch auf – schnell ein paar Nutzer als Freunde gewinnen und so Malware gezielt durch einen Einstieg in ein „Freundenetzwerk“ verbreiten. Soziale Netzwerke sind auch ideal für XSS (Cross Site Scripting), da man oft eigenen Code einbinden kann. Eigentlich für Videos usw. gedacht, damit lassen sich aber auch leicht harmlose Profile zu gefährlichen Drive-By Seiten umbauen.

Aggregatoren

Hier findet man einen Anbieter unter den vielen Aggregatoren der manchem schon lange Bauchweh macht – Google. Denn Google ist wie andere Anbieter darum bemüht, die Social Networks unter einem Dach zu vereinigen und die Seiten zu vereinheitlichen, damit User so einfach alle Kontake auf verschiedenen Börsen auf einmal verwalten können. Umgedreht kann so natürlich auch jeden User einfach verwalten oder Cracker müssen nur noch einen Account knacken um auf alle Profile zugriff zu haben.

Phishing

Eine besondere Form des Phishing, das Speer Phishing, boomt momentan – das Prinzip ist schnell erklärt und namensgebend: Phisher versuchen gezielt als neuer Freund an jede Menge persönlicher Daten per Social Engineering zu geraten. Viele User geben nur allzu bereitwillig persönliche Daten heraus – mehr als man mit jeder anderen Phishing Attacke akkumulieren könnte.

Infiltration von Netzen

Natürlich gibt es auch geschlossene Gruppen in sozialen Netzwerken – wobei sie eher als beschränkt geschlossen gelten sollten, da man einfach nur der Freund eines Mitglieds werden muss um ebenfalls Mitglied zu sein und alles einzusehen.

Nur mal als grober Ansatz - das reine Accountphishing ist Schnee von gestern weil für Cyberkriminelle lang nicht so ergiebig.

Ich muss gestehen, dass ich mit Teilen meiner Daten etwas zu leichtsinnig umgehe. In meinen Profilen auf verschiedenen Seiten stehen mein Vorname, eine Email-Adresse, allerdings anonymisiert, sprich, nicht Name@Provider.de, und mein Wohnort. Da ich in einem kleinen Ort wohne, bin ich so einigermaßen einfach zu finden.

Auf der anderen Seite frage ich mich, was jemand mit meinen Daten anfangen möchte. Ich bin nicht reich, besitze keine Kreditkarte, habe keine materiellen Wertgegenstände...

Ich benutze solche seiten nicht. Aber nicht wegen dem Sicherheitsaspekt, sondern weil ich sie einfach für Schwachsinnig halte. Das mit der Sicherheit mag wohl stimmen. Um Passwörter ect. auszuspionieren brauch es jedoch immer die Mithilfe des Users, und das ist das große Problem.

Als Entwickler kann man seine Projekte noch so sicher machen wie man will, wenn es genügend dumme und unwissende User gibt hilft das alles nichts. Ich würde sogar soweit gehen und sagen, dass in den aller allermeisten Fällen nicht die Software bzw. der Betreiber die Schuld hat, sondern der unachtsame User selbst.

Es wird überall und immer wieder gepredigt, dass man z.b. die Seite immer direkt im Browser aufrufen soll, oder dass Mitarbeiter von XYZ niemals persönliche Daten Abfragen (Online-Banking z.b.). Und doch passiert es immer wieder dass User einfach ihre Daten preisgeben. Sowas verstehe ich nicht. Deswegen gebe ich die meiste Schuld den Usern und nicht den Betreibern von Sozial-Networking-Sites oder den Seiten selbst.